La ciberdelinqüència ha vist en el Covid una oportunitat contra empreses i particulars

Els ciberdelinqüents s’aprofiten de qualsevol escletxa o esquerda en la seguretat d’empreses i ciutadans per poder aconseguir dades amb les quals comercialitzar, aconseguir directament informació sobre comptes o targetes per robar fons o segrestar-la per exigir un rescat per recuperar-la. Amb la pandèmia, han vist una nova oportunitat per aprofitar-se de les debilitats, en bona mesura perquè moltes companyies han hagut d’apostar pel teletreball sense estar-hi preparades en matèria de seguretat. Així ho va explicar ahir Laura del Pino, responsable de BBVA Data Security, al webinari que el Grup SEGRE i l’entitat financera van organitzar sota el títol Els desafiaments de la ciberseguretat en aquesta nova era.

En aquest seminari celebrat a través d’internet, Del Pino va analitzar què busquen els ciberdelinqüents, amb el robatori d’informació com un dels grans objectius. Parlem des de dades personals a informació de comptes bancaris o targetes de crèdit passant per qualsevol tipus d’informació empresarial. “La informació es transforma en diners directament o indirectament.” Poden acabar suplantant la identitat de l’empresa o el particular i aconseguir fons del seu compte, per exemple, però també utilitzen la informació com a objecte d’un nou tipus de segrestos.

Per aconseguir la devolució de la informació, moltes vegades clau per al desenvolupament de l’activitat, els ciberdelinqüents poden demanar un rescat. Però les dades robades també poden acabar al mercat negre d’internet.

Sabem què busquen, però també és important saber com ho fan. En aquest cas, la responsable de BBVA Data Security va apuntar a l’enginyeria social: bàsicament es tracta que ens enganyen o bé que utilitzen programes maliciosos o virus, els famosos malware i els troians. Però també s’aprofiten de qualsevol vulnerabilitat, de la mínima escletxa o fallada de seguretat dels programes.

Cada vegada usem més tecnologia i així els ciberdelinqüents poden trobar més oportunitats. En aquest punt, Del Pino va ser clara i va alertar de la baixa inversió en seguretat, en especial a les petites i mitjanes empreses, que anteposen altres prioritats. Existeix una falta de conscienciació dels riscos però tots, va remarcar, podem ser objectiu dels ciberdelinqüents.

“Un no se n’ha de preocupar, se n’ha d’ocupar.” Amb aquesta rotunda frase, Laura del Pino va voler deixar clar que cal tenir en compte diferents danys en cas de ser víctima d’aquest tipus de crims, perquè les empreses no només s’arrisquen a pèrdues econòmiques, sinó també a danys reputacionals o fins i tot a multes per no haver protegit la informació de tercers. En aquest punt, va voler destacar que el BBVA compta amb un equip en primera línia de defensa, moment en què va aprofitar per insistir que és necessària la inversió en instruments de seguretat, però també en la formació de les persones.

Amenaces

Entre les principals amenaces, va destacar el famós phishing, una forma d’engany per aconseguir informació. Parlem de correus electrònics amb un origen que aparentment és legítim encara que la realitat és ben diferent. És clau fixar-se en el remitent o en el to d’alarma o urgència dels missatges, en els quals en moltes ocasions s’amenaça amb conseqüències negatives.

Entre els consells, no descarregar res del qual no tinguem un origen clar, perquè darrere es poden trobar malware o troians.

En aquest punt, va posar exemples de correus que aparentment són de l’Agència Tributària o entitats financeres que, va dir, “m’atreviria a dir que cap no demana per correu o SMS informació de claus o comptes”. Un dels consells és tan obvi, de vegades, com fixar-se en l’ortografia del text.

Laura del Pino també va parlar de l’anomenat frau al CEO. Com que els ciberdelinqüents necessiten informació de l’empresa, es fan passar pel màxim responsable de la companyia o un directiu per posar-se en contacte amb empleats amb capacitat per fer transferències econòmiques o amb proveïdors. Es tracta de guanyar-se la seua confiança perquè facin operacions que plantejarien com a confidencials.

En el cas d’aprofitar-se d’un proveïdor, es tracta de fer que canviï el compte de la destinació d’un pagament.

Els consells per posar-se fora de perill en aquests casos passen de nou per revisar els correus, els dominis, els remitents i no descarregar res del qual no sapiguem al cent per cent la seguretat de l’origen. D’altra banda, una bona fórmula és establir una doble revisió, una doble verificació en el cas d’operacions importants.

Es tracta de no fiar-se, per exemple, només del correu electrònic i fer comprovacions telefòniques entre empleats o directius que es coneguin personalment.

És clau conscienciar i formar la plantilla, no compartir xarxes d’informació o tenir molt clar quina informació s’inclou al web corporatiu, que pot ser utilitzat pels ciberdelinqüents. Altres sistemes que són de gran ajuda per a les companyies és estar donat d’alta en els sistemes d’alertes de seguretat a la banca online.

Laura del Pino, una vegada més, va remarcar la importància de tots els sistemes a l’abast, com aquells en els quals el client pot ser advertit en cas d’operacions econòmiques de cert volum. Són una manera més de comprovar que estem donant llum verda a transaccions legítimes i que no provenen de hackers maliciosos.

El treball del BBVA

En aquest punt, Laura del Pino va fer un alto en el seu discurs per destacar el treball que desenvolupa a BBVA, entre altres aspectes en la conscienciació de clients i societat sobre els perills de la ciberdelinqüència, algunes claus per defensar-se dels seus atacs i la necessitat de tenir clar que invertir en seguretat és això, una inversió i no una despesa. Parlem d’inversió no només en sistemes informàtics sinó en la formació del personal de la companyia.

Les dades ratifiquen la necessitat d’afrontar el problema i protegir-se. El 55% dels atacs cibernètics a empreses procedeixen de bandes organitzades professionals.

Anticipar-se a qualsevol possible atac dels ciberdelinqüents passa per adoptar mesures de protecció dels sistemes, per la formació de les persones, però també és molt recomanable comptar amb una ciberassegurança. Aquest és un dels missatges que va llançar ahir Ruth Robles, BBVA Broker, al seminari a través d’internet. Va explicar que es tracta de donar servei, de la primera resposta que ofereix un ampli ventall de cobertures. Estem parlant de despeses d’informàtica forense, d’anàlisi de l’abast del cost de la recuperació de dades o assessorament legal a tota hora. Però també es poden incloure cobertures de despeses en dany a la imatge, es tracta de minimitzar l’afectació reputacional, també de notificar a possibles afectats i d’afrontar responsabilitats davant de tercers pels danys que s’haguessin pogut causar en cas de robatori de dades. Al ventall s’inclouen els costos de reclamacions judicials i fins i tot de sancions per part d’organismes reguladors o la pèrdua d’activitat per haver patit un atac cibernètic. Es calcula que de mitjana una empresa pot veure paralitzada la seua activitat cinc hores al ser víctima dels ciberdelinqüents, però existeixen casos en els quals parlem de dies o setmanes, va citar com a exemple Ruth Robles en el webinari del Grup SEGRE i BBVA.

Al respondre preguntes per part dels participants en el seminari, va apostar perquè les empreses “no es quedin curtes a l’hora de contractar una d’aquestes assegurances” i que una bona decisió és inclinar-se per cobertures en funció de la facturació de la companyia. Va explicar que el cost de les assegurances de ciberrisc presenta un ampli ventall en el cas del BBVA.

Va indicar que comercialitzen productes a mida de petites i mitjanes empreses fins a companyies de gran envergadura. En el cas de les pimes, la prima mínima podria situar-se, va dir, entre 300 i 400 euros. El cost varia en funció de l’activitat, la facturació o les mesures implementades en matèria de seguretat en els sistemes de l’empresa. Va advertir que són claus aquest tipus de mesures.

“Al contractar una assegurança no ens hem de quedar curts” La casualitat va fer que les dos responsables econòmiques de les empreses mantinguessin una conversa telefònica per un altre motiu i en aquell moment la companyia proveïdora va informar que havia fet l’ingrés al nou banc. En aquell moment, Codina va rememorar la sensació de vertigen, la trucada urgent als informàtics i la desconnexió automàtica d’internet a la companyia mentre investigaven el cas i presentaven la denúncia davant dels Mossos. El hacker havia entrat al servidor a través del correu electrònic d’un proveïdor i tenia el domini absolut de la seua conversa. Codina ho té clar: cal tenir els sistemes controlats i una bona assegurança. Avui no fa una transferència sense una doble comprovació telefònica. Va explicar que les empreses es preparen davant d’eventualitats com la caiguda d’internet, però en molts casos els problemes arriben quan un treballador es connecta des de casa seua. La companyia veu com es multipliquen les possibles vies d’accés dels ciberdelinqüents. Per exemple, es va demanar per què empreses que no treballen de nit o caps de setmana deixen obert internet, alertant del risc que suposa. Va remarcar la importància de la gestió dels sistemes antisuplantació, amb revisions addicionals, com poden ser els telefònics, o una adequada gestió de les claus i pins. A tall d’il·lustració va citar el cas d’una multinacional amb més de 6.000 usuaris i en els quals més de 2.700 tenien claus idèntiques o molt similars.